Debian-Sicherheitsankündigung
DSA-596-2 sudo -- Fehlende Eingabeentschärfung
- Datum des Berichts:
- 24. Nov 2004
- Betroffene Pakete:
- sudo
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 281665.
In Mitres CVE-Verzeichnis: CVE-2004-1051. - Weitere Informationen:
-
Liam Helmer bemerkte, dass sudo, ein Programm, welches bestimmten Benutzern begrenzte Superbenutzer-Rechte zur Verfügung stellt, die Umgebung nicht ausreichend säubert. Bash-Funktionen und die Variable CDPATH werden weiterhin an das Programm durchgereicht, welches als privilegierter Benutzer ausgeführt wird, wodurch Systemroutinen überladen werden können. Diese Verwundbarkeiten können nur von Benutzern ausgenutzt werden, denen begrenzte Superbenutzer-Rechte gewährt wurden.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 1.6.6-1.3 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.6.8p3 behoben.
Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.
